Negli ultimi mesi, i ransomware che mirano alle organizzazioni sanitarie sono in aumento. Sebbene i ransomware non siano una novità, quando prendono di mira le organizzazioni sanitarie, possono avere un impatto estremo sulla capacità di un’organizzazione di gestire dall’effettuazione delle visite di routine a diagnosi vitali, trattamenti e assistenza ai pazienti.
Con l’aumento recente dei ransomware utilizzati per colpire le organizzazioni sanitarie, nonché l’industria dell’ospitalità, dei giochi e dell’intrattenimento, ecc. (oltre ad altre industrie, sia a livello nazionale che internazionale), riceviamo spesso domande sulla capacità di Corelight di rilevare e identificare la diffusione dei ransomware tramite l’analisi del traffico di rete e il registro dei protocolli. La domanda principale è: una volta identificato il ransomware, come può un’organizzazione rispondere in modo rapido ed efficace?
Uno dei molti vantaggi di essere un cliente di Corelight è il team di esperti del nostro supporto e le nostre radici nella comunità open source. Il potere della comunità open source va dai redattori di contenuti/script Zeek® agli autori di firme IDS di Suricata® e ai manutentori di regole, ai tecnici specializzati nella documentazione tecnica, agli istruttori e a coloro che cercano di contribuire alla rilevazione, alla difesa e alla protezione.
Con i ransomware, esiste un detto nella comunità del malware: il malware può cercare di nascondersi, ma deve essere in esecuzione. Al contrario, con i ransomware, non c’è motivo tattico per nascondersi, perché l’obiettivo degli attori minaccia che utilizzano il ransomware è simile ad altre forme di estorsione digitale: essere pagati!
In fasi che vanno dalla compromissione iniziale alla configurazione e alle operazioni crittografiche, fino alla penetrazione dei dati sui dispositivi finali e, in molti casi, all’estrazione di dati dalla rete interna della vittima, la visibilità di rete è fondamentale. Corelight fornisce questa critica visibilità di rete tramite quattro risorse principali:
1. Pacchetti di rilevamento e raccolte sviluppate da Corelight Labs.
2. Interazione con i registri di protocollo Zeek tramite script Zeek scritti per l’identificazione di varie condizioni di rilevamento.
3. Sfruttamento di oltre 60.000 firme in varie categorie attraverso diverse serie di regole di rilevamento di Suricata IDS.
4. Utilizzo di SmartPCAP per catturare l’attività e le operazioni dei ransomware da un’analisi della rete, e utilizzo della capacità di estrazione dei file su ciascun sensore per estrarre oggetti file in corso di esecuzione delle operazioni dei ransomware.
In particolare, ogni connessione coinvolta in un incidente di ransomware genererà voci nel registro delle connessioni (conn.log). Allo stesso tempo, ci sarà un picco o un aumento dell’attività DNS poiché varie forme di cifratura simmetrica e il continuo traffico verso i server C2 (Command and Control) e i ricevitori di esfiltrazione dei dati richiederanno l’interazione con le query DNS e le relative risposte, che verranno registrate nel registro DNS (dns.log). Per quanto riguarda la cifratura simmetrica, ci sono 3 registri cruciali: SSL, X509 e Files. Ciascuno di questi registri registrerà un aumento nell’attività quando il ransomware si diffonderà attraverso i dispositivi finali e si sposterà lateralmente verso altri host.
Il movimento laterale viene spesso registrato in vari registri di comunicazione di rete, come smb_files, smb_mapping e smb_command. SMB è tipicamente considerato il protocollo o meccanismo di messaggistica di trasporto, il che significa che saranno presenti indicatori di ransomware nei registri DCE_RPC, RDP o VPN.
Il team di esperti di Corelight ha dedicato più di un decennio di ricerca, sviluppo in laboratorio intensivo e conoscenze collettive direttamente alla produzione e all’implementazione di Encrypted Traffic, Command and Control ed Entity Collections.
Questo ci porta a alcune domande critiche:
Come farà il mio team del SOC a sapere quando il ransomware è in esecuzione?
I rilevamenti e le scoperte dalla maggior parte degli script Zeek appaiono nel registro delle notifiche (notice.log). Nel caso dei pacchetti di rilevamento e delle raccolte potenziate di Corelight, ci sono anche registri specifici che si applicano ai servizi, ai protocolli e alle applicazioni utilizzati dalle diverse famiglie di ransomware.
Una tattica comune utilizzata dagli attori di minaccia del ransomware è quella di compromettere una VPN attraverso varie risorse (una risorsa popolare è impegnarsi con un intermediario di accesso iniziale). Una volta all’interno di una rete accessibile tramite un intermediario di accesso iniziale, molti attori di minaccia utilizzeranno una o più VPN nel tentativo di sfuggire alla rilevazione e semplificare l’accesso continuo. Durante le loro connessioni VPN, gli attori minaccia possono condurre attività di ricognizione, come la scansione degli asset e il profilazione del paesaggio, per identificare un punto di controllo elevato compromettendo uno o più controller di dominio (che vengono spesso utilizzati per infettare altri controller di dominio). Una volta che riescono a ottenere quel livello di compromissione, è facile per loro distribuire dropper ransomware tramite la policy del controller di dominio o “aggiornamenti di patch” che possono letteralmente infettare interi domini e entità organizzative in pochi minuti.
Come la comunità open source per il rilevamento è correlata al rilevamento del ransomware?
Nel caso di Zeek, i suoi script di rilevamento open source possono analizzare eventi di rete e essere utilizzati per determinare quando le stringhe di agente utente del ransomware o i movimenti “in corso” delle estensioni di file associate a varie famiglie e gruppi sono registrati.
Nel caso di Suricata, le sue firme IDS open source sono il risultato di contributi da parte di vari gruppi di Information Sharing and Collaboration (ISAC). Sono disponibili oltre 4.700 firme dedicate a gruppi e famiglie di ransomware noti solo attraverso l’ ET/Emerging Threats Community Edition e Professional Edition of ProofPoint’s.
Quali passi devo compiere?
Il momento per determinare l’entità delle capacità di rilevamento della tua distribuzione di sensori non dovrebbe essere durante un incidente. Il miglior modo per stabilire come la tua infrastruttura può definire e rilevare varie aree di impatto e funzionare in una “zona di fallout di rete virtuale” è “simularlo” o “validarlo” attraverso simulazioni ed esercitazioni di validazione della sicurezza. Per farlo, ti consiglio di assicurarti di avere Zeek e Suricata IDS installati, insieme agli script e alle firme corretti, in un ambiente di laboratorio separato dalle tue reti di produzione in cui sono installati i tuoi sensori Corelight.
Visita la pagina del vendor sul nostro sito
